L’autorité de contrôle irlandaise a prononcé une amende d’1,2 milliards d’euros à l’encontre de Meta, pour avoir transféré des données personnelles aux Etats-Unis.
Pour rappel, le 16 juillet 2020, la CJUE a rendu un arrêt « Schrems 2 » par lequel elle a invalidé le « Privacy Shield » et a fortement restreint les possibilités de transférer des données personnelles aux Etats-Unis. Cette décision était motivée par les captations larges et intrusives de données personnelles opérées par les autorités américaines.
En Aout 2020, la DPC (« Data Protection Commission », autorité de protection irlandaise) a entamé une enquête spontanée à l’égard de Meta Ireland, dont l’objet était de s’assurer de la conformité des transferts de données personnelles vers Meta US, située aux Etats-Unis, dans le contexte de la fourniture des services liés à Facebook.
1. Les clauses contractuelles types
La DPC a relevé que les transferts de données personnelles réalisés par Meta Ireland à destination des Etats-Unis étaient couverts, successivement, par les clauses contractuelles types version 2010, puis version 2021.
Sans surprise, pour la DPC, les clauses contractuelles types, quelle que soit leur version, ne lient pas les autorités américaines et, en conséquence, ne permettent pas d’assurer, à elles seules, la conformité des transferts de données personnelles aux Etats-Unis.
2. Les « mesures supplémentaires »
Meta Ireland et Meta US avaient mis en œuvre les « mesures supplémentaires » suivantes :
- Des mesures d’ordre organisationnel, composées d’un certain nombre de politiques et de procédures implémentées chez Meta Ireland et Meta US, par lesquelles Meta US s’obligeait notamment à :
- notifier à Meta Ireland tout réception d’une requête d’une autorité publique américaine, sauf prohibition de le faire en vertu de la loi ;
- soumettre un rapport détaillé à Meta Ireland quant aux fournitures de données sur la base des requêtes américaines.
- Des mesures d’ordre techniques, notamment par le chiffrement des données en transit
- Des mesures d’ordre légal, impliquant notamment l’obligation, pour Meta US, de former un recours contre les décisions émanant d’autorités américaines qu’elle estimait illégales, ou qui ne seraient pas nécessaires ou proportionnées dans une société démocratique.
Pour la DPC, aucune de ces mesures ne compense la protection inadéquate résultant de la loi américaine.
3. Le décret présidentiel du 7 octobre 2022
Il est à noter que, dans le cadre des débats entre la DPC et Meta Ireland, cette dernière a sollicité de la DPC qu’elle prenne en compte, dans le cadre de sa décision, les dispositions du décret présidentiel du 7 octobre 2022, dont l’objet est d’encadrer les pratiques de surveillance des autorités américaines, ainsi que fournir des moyens de recours aux citoyens européens.
Sur ce point, la DPC a noté que le décret présidentiel du 7 octobre 2022 n’oblige pas, de façon immédiate, les agences de renseignement américaines à changer leur pratique. Par ailleurs, le mécanisme de recours mentionné dans ce décret présidentiel n’est pas, à l’heure actuel, accessible aux citoyens européens. La DPC en a conclu que les risques identifiés par la CJUE dans sa décision « Schrems 2 » étaient toujours d’actualité.
4. La sanction
Si l’intention initiale de la DPC n’était pas de prononcer une amende administrative à l’égard de Meta Ireland, mais uniquement d’ordonner la cessation du transfert, le CEPD a exprimé une volonté contraire, conduisant la DPC à assortir l’ordre de cessation des transferts, sous 5 mois, d’une amende administrative record d’1,2 milliards d’euros.
Lien vers le communiqué de la DPC : ici
